Qt Group ：严格的架构设计是嵌入式设备安全运行的核心前提

近年来，中国汽车产业在电动化、智能化浪潮中快速发展，整车、电池与智能座舱等领域已逐步建立起全球影响力，但在车载软件、底层芯片及电子电气架构等核心技术方面仍面临严峻挑战。

2025年9月10日，在盖世汽车主办的第五届未来汽车AI计算大会上，Qt Group质量保证产品中国区技术负责人刘相全指出，在汽车电子、航空航天等高安全要求的嵌入式系统中，严格的软件架构设计是系统安全运行的核心前提。尤其在ISO 26262标准下，不同ASIL等级（如ASIL-D）的组件必须实现“免于干扰”，即高风险组件的故障不得影响低安全级组件。传统的开发流程中，架构问题往往在集成测试阶段才被发现，此时修复成本极高，而通过静态架构检查方法，可在编码阶段早期识别架构偏差，大幅提升开发效率与系统可靠性。

同时，他也指出静态分析虽能有效解决软件层面的系统故障，但仍需结合其他手段处理偶发性故障、工具链及硬件问题，并需确保源代码无未定义行为。刘相全表示，对于已采用静态架构验证的用户，实施分区架构验证以保障免于干扰将变得简单。

刘相全 | Qt Group质量保证产品 中国区技术负责人

以下为演讲内容整理：

免于干扰与故障传播控制

“免于干扰”指系统中某一分区的故障不应引发其他分区发生连锁故障。刘相全举例说明，例如低安全等级（QM）或较低ASIL等级的组件应与高ASIL等级组件实现隔离。ISO 26262中明确指出了可能导致干扰的多种故障类别，包括时序与执行问题（如阻塞、死锁、活锁）、内存错误（如数据损坏、栈溢出、非法内存访问）以及信息交换异常（如数据重复、丢失、插入）等。

他强调，这些问题若在开发后期甚至车辆路测中暴露，将导致项目周期延长和成本上升。因此，最佳实践是在软件编译和持续集成（CI）阶段即引入自动化架构检查机制，实现“安全左移”。

图源：Qt Group

架构检查的三要素与基本流程

架构检查的实现依赖于三个核心要素：架构模型、源代码及其之间的映射关系。

架构模型通常包括组件及其允许的关系，可采用多种形式定义，如文本描述（Word或Python脚本）、UML图形或带有节点与边的注视图。源代码则需编译为中间表示形式，以提取实体间的依赖关系。第三，需建立从源码至架构元素的映射关系。

架构检查算法主要分为两步：首先，识别源代码中的所有依赖，并将其与架构模型中定义的允许关系进行比对，结果分为“收敛”（符合设计，绿色箭头）、“分歧”（违反设计，红色箭头）；其次，检查是否所有架构模型中定义的依赖都在代码中实现，避免出现“缺失”（黄色箭头）。

图源：Qt Group

分区架构检查在FFI中的应用

在基础架构检查的基础上，可进一步实施分区架构检查，以系统性地验证“免于干扰”（FFI）要求。该流程首先需为每个软件组件标注其安全等级，例如QM、ASIL-A、ASIL-B或ASIL-D；随后明确分区之间的依赖规则，例如允许低ASIL等级的组件调用高ASIL组件，但严禁低ASIL组件对高ASIL组件的数据进行写入操作；接着将这些规则转化为可验证的FFI架构模型；最终通过运行自动化检查，精准识别出所有违规的访问或调用行为，从而确保不同安全等级组件之间的有效隔离与系统功能安全。

刘相全现场展示了一个示例，其中QM分区组件非法调用了ASIL-B分区接口，以及ASIL-B组件错误写入ASIL-D数据区——这些违规行为均被工具以红色箭头标出，而符合预期的访问则显示为绿色。他指出，这一方法可大幅提高安全审计效率，并适用于现有架构模型的扩展与自动化验证。

静态分析的优势与局限

尽管静态架构检查能有效识别多数软件层面的系统故障，刘相全也坦言其存在一定局限。静态分析通常会高估指针和数组访问范围，可能引入误报；它无法处理硬件随机故障或工具链本身的问题，也不能替代动态测试、硬件在环（HIL）或故障注入测试。

他强调，该技术的前提是源代码中不能包含未定义行为，建议开发团队首先借助MISRA等编码规范消除此类隐患。此外，架构检查仍可部分辅助识别竞争条件、时序违规及模块接口误用等问题。

刘相全总结道，在实现“免于干扰”的过程中，基于架构的静态检查是一项必要且高效的技术手段。尤其当团队已在使用架构验证工具时，扩展至安全分区验证只需增加安全标签标注，其余流程可实现高度自动化。

他代表Qt Group提出，使用如Axivion等静态分析工具，可在开发早期实现架构与代码一致性检查，并支持FFI验证。最后，他邀请观众申请工具试用，进一步了解其在持续集成环境中的实际效果。最后，刘相全表示，Qt Group将持续致力于为中国汽车及嵌入式行业提供可靠的安全软件开发和验证解决方案。

图源：Qt Group

（以上内容来自Qt Group质量保证产品中国区技术负责人刘相全于2025年9月10日在第五届未来汽车AI计算大会发表的演讲。